Le fournisseur d'infrastructure Web3 décentralisée Ankr a cherché à rassurer sa communauté vendredi avec une première réponse à la vol d'au moins 5.5 millions de dollars des pools de liquidités de BNB Chain et des marchés monétaires.
L'équipe a confirmé que les autres produits d'Ankr, y compris les validateurs, les nœuds RPC et les services AppChain, n'étaient pas affectés. Cela soulagera les détenteurs d'autres dérivés de jalonnement plus importants d'Ankr, notamment aETHc – Ankr jalonné d'éther – qui porte une capitalisation boursière d'environ 68 millions de dollars.
L'attaquant a frappé un total de 60 6 milliards d'aBNBc sur 16 transactions différentes. Le voleur a ensuite utilisé les jetons frappés, mais non garantis, pour drainer la liquidité des échanges décentralisés sur la chaîne BNB. Après avoir fait demi-tour et acheté l'aBNBc déprimé, l'attaquant a pu attaquer le protocole d'emprunt et de prêt Helio en retirant 15.5 millions de dollars en HAY, le stablecoin personnalisé du protocole et en l'échangeant contre XNUMX millions de dollars BUSD, le stablecoin Binance émis par Paxos.
Avant l'exploit, Helio avait 90 millions de dollars en valeur totale verrouillée, selon DeFiLlama.
"Les hacks et les exploits de mauvais acteurs comme celui-ci sont une possibilité malheureuse dans Web3, même avec toute l'attention portée aux détails dans les processus de sécurité - mais nous étions bien préparés", a déclaré le co-fondateur et PDG Chandler Song, dans une déclaration.
Un "plan d'action" recommandé a expliqué comment les utilisateurs d'aBNBc peuvent être indemnisés par le biais d'un nouveau jeton ankrBNB qui sera créé et largué sur la base d'un instantané pré-exploité des données en chaîne.
Bien que l'attaque découle apparemment d'une utilisation malveillante de la clé privée pour le déployeur de contrat intelligent aBNBc, on ne sait pas exactement comment la clé a été compromise. Industrie les bonnes pratiques appellent portefeuilles multisignatures et timelocks sur les contrats intelligents évolutifs, pour empêcher ce type d'attaque.
Les représentants d'Ankr n'ont pas répondu à la demande de commentaires de Blockworks.
D'autres fournisseurs de BNB liquide jalonnés tels que pSTAKE utiliser les signatures multiples pour protéger les contrats sensibles et restreindre l'accès aux fonctions de frappe de jetons, tandis que les dapps entièrement décentralisés tels que Uniswap sur Ethereum ne sont pas du tout évolutifs.
L'ampleur des dommages collatéraux n'est pas encore claire, mais l'Ankr exprimé l'intention pour résoudre les pertes subies par les clients des dapps DeFi connexes.
Par exemple, Ankr couvrira les créances irrécouvrables contractées par le protocole Helio, en attendant l'issue des discussions en cours, selon le compte Twitter officiel de ce dernier.
Recevez chaque soir les meilleures nouvelles et informations cryptographiques de la journée dans votre boîte de réception. Abonnez-vous à la newsletter gratuite de Blockworks maintenant.
Source : https://blockworks.co/news/ankr-exploit-causes-collateral-damage